Bezpečná session v PHP

Re:Bezpečná session v PHP
« Odpověď #30 kdy: 17. 03. 2020, 18:33:50 »
Druhou částí je i civilní žaloba, ve které názor ÚOOÚ nemá naprosto žádnou váhu.
Už zase melete z cesty. Civilní žaloba na co?

Právěže je to jen ve fázi návrhu. ÚOOÚ ví, že takto zatím nemůže postupovat. Kdyby takto mohl postupovat, pak by stačilo aby vyhláškou stanovil svůj postup. Každý úřad může vyhláškou stanovit mírnější úřední postup (např. tak to někdy dělá finanční správa). V tomto případě to udělat nemohou, protože by takový postup byl sice mírnější k provozovatelům webů, ale na druhé straně by tím zasahoval do zákonem daných práv uživatelů. Proto je to ve fázi návrhu a právě tato fáze vyjadřuje ten kontrast stavu jaký je a musí respektovat a stavu, jaký by navrhovali.
Ale houby. Přečtěte si tu webovou stránku, ze které je to odkazované. Je to plánované doporučení ÚOOÚ pro provozovatele webů, takže to nikdy nemělo být nic legislativního. A návrh je to proto, že to ÚOOÚ chtěl konzultovat s provozovateli webů.

V Evropě je trend chránit soukromí. Nastavit cookie v 99 % případů není nezbytné a už vůbec ne u nového systému. Je to jen pohodlné a lacinější na vývoj. Tomu chce přesně EU zabránit. Myslím, že EU se neposadí na zadek z ÚOOÚ.
Jenže cookies se soukromým nijak nesouvisí. S ochranou soukromí může souviset obsah, který se do cookie ukládá. A jestli nějaké informace uložíte do cookie nebo jiným způsobem, to je z hlediska ochrany osobních údajů mimo. K čemu by bylo dobré ukládat to komplikovanějším způsobem, když to na ochranu osobních údajů nebude mít žádný vliv? EU rozhodně nikoho nechce nutit něco vyvíjet zbytečně složitě, ani nechce web zaplevelit zbytečnými cookie lištami (to je akce Google). EU chce chránit soukromí – a to nijak nesouvisí s technologií cookies, ani s žádnou jinou technologií. Souvisí to jenom s tím, jaké osobní údaje se zpracovávají.


Re:Bezpečná session v PHP
« Odpověď #31 kdy: 18. 03. 2020, 11:18:37 »
S tymi cookies to nieje tak ze zakladne first-party cookies (sem patri aj session cookie) potrebne na beh webu su v GDPR povolene a netreba pytat suhlas. Suhlas je potrebny na statisticke, reklamne, 3rd party cookies a podobne.

Re:Bezpečná session v PHP
« Odpověď #32 kdy: 18. 03. 2020, 11:22:40 »
Aj na UOOU to pisu:

Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele (interpretační vodítka k určení takových cookiesposkytuje WP194).

Re:Bezpečná session v PHP
« Odpověď #33 kdy: 18. 03. 2020, 12:58:41 »
Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele (interpretační vodítka k určení takových cookiesposkytuje WP194).

A nastavení session je nutné k zajištění provozu nepřihlášeného uživatele? Podle mě ani omylem. Musela by to být nějaká nevyhnutelná funkce, kterou nejde zajistit jinak.

Re:Bezpečná session v PHP
« Odpověď #34 kdy: 18. 03. 2020, 13:17:15 »
A nastavení session je nutné k zajištění provozu nepřihlášeného uživatele? Podle mě ani omylem. Musela by to být nějaká nevyhnutelná funkce, kterou nejde zajistit jinak.
No jo, podle vás. Mám pro vás několik tipů. Např. v e-shopech existuje taková věc, která se nazývá nákupní košík. Jistě, když se chcete e-shopem jen tak procházet a kochat se, co je v nabídce, nákupní košík není potřeba. Nicméně provozovatel e-shopu potřebuje, aby v něm někdo nakupoval, takže nákupní košík potřebuje. Nebo třeba servery, kde jsou články a pod nimi komentáře. Je dobré vidět, které komentáře už jsem četl a které ještě ne. Nutit kvůli tomu uživatele, aby se přihlásil, není úplně vhodné. Naopak proti smyslu GDPR je vnucovat lidem zbytečné přihlášení, když se to dá řešit i bez něj. Dál třeba vyhledávače spojení. Pro uložení často hledaných spojení nepotřebuju být přihlášen, právě naopak, nechci si kvůli tomu zakládat nějaký účet.


Re:Bezpečná session v PHP
« Odpověď #35 kdy: 18. 03. 2020, 13:23:42 »
No jo, podle vás. Mám pro vás několik tipů. Např. v e-shopech existuje taková věc, která se nazývá nákupní košík. Jistě, když se chcete e-shopem jen tak procházet a kochat se, co je v nabídce, nákupní košík není potřeba. Nicméně provozovatel e-shopu potřebuje, aby v něm někdo nakupoval, takže nákupní košík potřebuje. Nebo třeba servery, kde jsou články a pod nimi komentáře. Je dobré vidět, které komentáře už jsem četl a které ještě ne. Nutit kvůli tomu uživatele, aby se přihlásil, není úplně vhodné. Naopak proti smyslu GDPR je vnucovat lidem zbytečné přihlášení, když se to dá řešit i bez něj. Dál třeba vyhledávače spojení. Pro uložení často hledaných spojení nepotřebuju být přihlášen, právě naopak, nechci si kvůli tomu zakládat nějaký účet.

Ano, na to jsou nutná cookies. Ale jak to vysvětluje naši diskusi o (ne)vhodnosti session autostart? Pořád nějak nevidím důvod, proč by měl existovat autostart session a nastavení cookie, dokud neodkliknu souhlas a dokud nechci využívat žádnou takovou funkci? Chápu plně, že je jednodušší tam prdnout autostart, než přemýšlet, kdy ji můžu nastavit - ale to už je mimo rámec toho, co řešíme.

Re:Bezpečná session v PHP
« Odpověď #36 kdy: 18. 03. 2020, 13:46:47 »
Pořád nějak nevidím důvod, proč by měl existovat autostart session
Protože je to nejjednodušší a nelze v tom udělat chybu.

nastavení cookie, dokud neodkliknu souhlas
Souhlas s cookie se nastavuje v prohlížeči. Pokud jsou vypnuté, prohlížeč cookie neuloží a na serveru tudíž nemusíte řešit jejich neukládání. Na serveru musíte akorát vyřešit, zda uživateli s vypnutými cookies poskytnete nějakou náhradní metodu. Začátečníkovi bych to rozhodně nedoporučoval, je to podstatně náročnější na zabezpečení.

Souhlas uživatele odkliknutím na webové stránce vyžadují akorát obchodní podmínky Googlu, třeba když máte na stránkách AdWords nebo používáte Google Analytics. Ale ani Google nepředpokládá, že byste se těmi podmínkami řídil, protože nikde v API nevystavuje funkci, kterou byste jim sdělil, že uživatel souhlas dal. A všude předpokládají, že jejich kód vložíte do stránky rovnou, ne až po získání souhlasu.

Chápu plně, že je jednodušší tam prdnout autostart, než přemýšlet, kdy ji můžu nastavit - ale to už je mimo rámec toho, co řešíme.
Jenže to, co vy řešíte, je zase daleko mimo rámec dotazu.

Re:Bezpečná session v PHP
« Odpověď #37 kdy: 18. 03. 2020, 13:54:43 »
Protože je to nejjednodušší a nelze v tom udělat chybu.

A to je právě ono. Ta směrnice jasně říká o opt-in mechanismu, tedy o explicitním vyjádření souhlasu. Nainstalovaný prohlížeč, který má implicitně zapnutá cookies nemůže zakládat na předpoklad souhlasu. Proto taky je taky ten návrh zazděný. Podle Vašeho výkladu by totiž to ustanovení směrnice úplně ztratilo smysl, protože každý by mohl zcela volně cookies používat bez souhlasu. (To rovnou mohli do směrnice napsat: kdo nechce cookies, nechť si je vypne v prohlížeči).

Re:Bezpečná session v PHP
« Odpověď #38 kdy: 18. 03. 2020, 14:56:22 »
A to je právě ono. Ta směrnice jasně říká o opt-in mechanismu, tedy o explicitním vyjádření souhlasu.
To už jsem vám vysvětlil včera.

To rovnou mohli do směrnice napsat: kdo nechce cookies, nechť si je vypne v prohlížeči
Což by bylo vůbec nejlepší, protože je to jediné, co dává smysl. Uživatel si to jednou nakonfiguruje, jak chce, a provozovatel webu to nemůže nijak obejít. Ta současná podoba směrnice je evidentně nejasná, když to kde kdo používá jako strašáka.

Re:Bezpečná session v PHP
« Odpověď #39 kdy: 18. 03. 2020, 15:01:20 »
Což by bylo vůbec nejlepší, protože je to jediné, co dává smysl. Uživatel si to jednou nakonfiguruje, jak chce, a provozovatel webu to nemůže nijak obejít. Ta současná podoba směrnice je evidentně nejasná, když to kde kdo používá jako strašáka.

Ta směrnice je naopak zcela jasná. Z opt-out mechanismu, který byl povolený u nás přechodnou dobu, je jasně požadovaný opt-in mechanismus. Je z toho zcela patrné, jaká je vůle zákonodárce a je to i logické vzhledem k zájmům uživatelů.

Návrh ÚOOÚ je zcestný, protože jde zcela proti smyslu explicitního ustanovení směrnice i proti jejímu vývoji v čase (anarchie => opt-out => opt-in => [návrh znovu anarchie]). Proto taky ten návrh už dlouho leží u ledu. Nedá se očekávat, že návrh ÚOOÚ směrem k provozovatelům zvrátí zákon.

Re:Bezpečná session v PHP
« Odpověď #40 kdy: 18. 03. 2020, 15:31:43 »
Ta směrnice je naopak zcela jasná. Z opt-out mechanismu, který byl povolený u nás přechodnou dobu, je jasně požadovaný opt-in mechanismus. Je z toho zcela patrné, jaká je vůle zákonodárce a je to i logické vzhledem k zájmům uživatelů.

Návrh ÚOOÚ je zcestný, protože jde zcela proti smyslu explicitního ustanovení směrnice i proti jejímu vývoji v čase (anarchie => opt-out => opt-in => [návrh znovu anarchie]). Proto taky ten návrh už dlouho leží u ledu. Nedá se očekávat, že návrh ÚOOÚ směrem k provozovatelům zvrátí zákon.
To si nepřipadáte hloupě? Nařízení si nepřečtete, názor ÚOOÚ si nepřečtete, ale dál trváte na tom, že jedině vaše dojmy jsou správné.

Vzhledem k tomu, že všude potkávám nejrůznější nesmyslné cookie lišty, které nevyhovují ani GDPR, ani obchodním podmínkám Googlu, ani ničemu jinému, evidentně to nařízení tak jasné není.

Zájem uživatelů určitě není na každém druhém webu skrývat při každé návštěvě nějakou nesmyslnou lištu, jejíž zobrazení či nezobrazení nemá žádný vliv na funkčnost webu. Pokud nějaký uživatel má potřebu nějak řešit cookies, ať to řeší ve svém prohlížeči, To je jediné místo, kde se to vyřešit dá.

Re:Bezpečná session v PHP
« Odpověď #41 kdy: 18. 03. 2020, 15:45:15 »
Nařízení si nepřečtete, názor ÚOOÚ si nepřečtete, ale dál trváte na tom, že jedině vaše dojmy jsou správné.

Četl jsem vše zmiňované, včetně uznávané právní literatury k tématu.

Vzhledem k tomu, že všude potkávám nejrůznější nesmyslné cookie lišty, které nevyhovují ani GDPR, ani obchodním podmínkám Googlu, ani ničemu jinému, evidentně to nařízení tak jasné není.

Zájem uživatelů určitě není na každém druhém webu skrývat při každé návštěvě nějakou nesmyslnou lištu, jejíž zobrazení či nezobrazení nemá žádný vliv na funkčnost webu. Pokud nějaký uživatel má potřebu nějak řešit cookies, ať to řeší ve svém prohlížeči, To je jediné místo, kde se to vyřešit dá.

Ano, s tím souhlasím, že se většina firem snaží nařízení obejít, občůrat opt-out lištami, které neplní účel. Není však důležité, že se masy rozhodly na nařízení prdět, ale to, jestli to lze splnit či nikoliv. Já jsem přesvědčený, že lze, jen to bude vyžadovat změny. Tedy dokud není funkce cookie nezbytná, nesmí ji web nastavit. Pokud je nezbytná, smí. A smí ve chvíli, kdy o to člověk požádá opt-in způsobem (např. souhlasem při zakládání účtu a následně loginem).

Celá naše diskuse se točí kolem toho, že se Vám zdá směrnice nepohodlná a že vyžaduje změnu systémů i přemýšlení při plánování. Až bude chtít zákonodárce, aby si to uživatel ovládal v prohlížeči, vypustí to z normy. Do té doby to tam je.

Re:Bezpečná session v PHP
« Odpověď #42 kdy: 18. 03. 2020, 16:24:05 »
Celá naše diskuse se točí kolem toho, že se Vám zdá směrnice nepohodlná a že vyžaduje změnu systémů i přemýšlení při plánování.
Ne, celá naše diskuse se točí kolem toho, že vy jste si něco vymyslel, a tvrdíte, že je to v nějaké směrnici. Jenže v nařízení (sic!) GDPR nic takového není.

Až bude chtít zákonodárce, aby si to uživatel ovládal v prohlížeči, vypustí to z normy. Do té doby to tam je.
Jenže zákonodárce nerozhoduje o tom, jak má být něco technicky realizováno. Zákonodárce určuje cíl – a je mu jedno, jestli to bude implementováno v prohlížeči nebo na serveru. Splňuje konfigurace v prohlížeči požadavky GDPR? Splňuje. Tak proč by to samé mělo být implementováno ještě někde jinde?

Re:Bezpečná session v PHP
« Odpověď #43 kdy: 18. 03. 2020, 19:43:50 »
Pánové, jste stále u tématu bezpečné session?  ;)